在线客服
首页 > 帮助中心 > AWS IAM如何配置多因素认证,提高账户的安全性

AWS IAM如何配置多因素认证,提高账户的安全性

⏱️2026-04-29 09:00 👁️3

🔐 AWS IAM 多因素认证(MFA)配置指南 🔐

为了提升 AWS 账户的安全性,强烈建议启用多因素认证(MFA)。MFA 要求用户在输入用户名和密码后,提供来自另一个身份验证设备(如手机上的身份验证器应用程序)的验证码。这样即使密码泄露,攻击者也无法轻易访问您的 AWS 资源。

以下是配置 AWS IAM MFA 的步骤:

  1. 登录 AWS 管理控制台: 使用具有管理员权限的 IAM 用户或根用户登录 AWS 管理控制台。⚠️ 建议尽量避免使用根用户,而是使用具有适当权限的 IAM 用户。
  2. 导航到 IAM 控制面板: 在 AWS 管理控制台中,搜索并选择 "IAM"。
  3. 选择用户: 在 IAM 控制面板的左侧导航栏中,点击 "用户"。在用户列表中,选择要为其启用 MFA 的 IAM 用户。
  4. 进入安全凭证选项卡: 在用户详细信息页面中,点击 "安全凭证" 选项卡。
  5. 分配 MFA 设备: 在 "分配的 MFA 设备" 部分,点击 "分配 MFA 设备" 按钮。
  6. 选择 MFA 设备类型: 选择要使用的 MFA 设备类型。AWS 支持以下类型的 MFA 设备:
    • 虚拟 MFA 设备: 这是一个在智能手机或平板电脑上运行的应用程序,例如 Google Authenticator、Microsoft Authenticator 或 Authy。这是最常用的 MFA 设备类型。📱
    • 硬件 MFA 设备: 这是一个物理设备,例如 Gemalto SafeNet 或 YubiKey。这些设备通常通过 USB 连接到计算机。 🔑
    • U2F 安全密钥: 是一种符合 FIDO U2F 标准的物理安全密钥. 🔒
  7. 配置虚拟 MFA 设备: 如果选择虚拟 MFA 设备,请按照以下步骤操作:
    1. 安装身份验证器应用程序: 在您的智能手机或平板电脑上安装一个兼容的身份验证器应用程序,例如 Google Authenticator、Microsoft Authenticator 或 Authy。
    2. 显示二维码: 在 AWS 管理控制台中,您将看到一个二维码和一个手动配置密钥。
    3. 扫描二维码或输入密钥: 使用身份验证器应用程序扫描二维码或手动输入配置密钥。
    4. 输入连续的 MFA 代码: 身份验证器应用程序将生成一个 6 位数的 MFA 代码。在 AWS 管理控制台中,输入连续的两个 MFA 代码。
    5. 点击 "分配 MFA": 点击 "分配 MFA" 按钮以完成 MFA 设备的配置。
  8. 配置硬件 MFA 设备: 如果选择硬件 MFA 设备,请按照设备制造商提供的说明进行配置。通常,您需要将设备连接到计算机并安装必要的驱动程序。
  9. 激活 MFA 设备: 配置 MFA 设备后,您需要激活它。按照 AWS 管理控制台中的说明进行操作。通常,您需要输入来自 MFA 设备的两个连续的 MFA 代码。
  10. 测试 MFA: 配置并激活 MFA 设备后,请注销 AWS 管理控制台并重新登录,以确保 MFA 正常工作。在登录时,您将被要求输入 MFA 代码。 ✅

注意事项

  • 备份 MFA 设备: 强烈建议备份您的 MFA 设备。如果您的 MFA 设备丢失或损坏,您将无法访问您的 AWS 账户。大多数身份验证器应用程序都提供备份和恢复功能。 💾
  • 根用户的 MFA: 务必为您的 AWS 根用户启用 MFA。根用户具有对您的 AWS 账户的完全访问权限,因此保护根用户至关重要。 🛡️
  • IAM 角色的 MFA: 考虑为 IAM 角色启用 MFA。这样,只有在提供 MFA 代码后,用户才能担任该角色。
  • MFA 删除保护: 启用 MFA 删除保护,以防止恶意用户禁用 MFA。
  • 用户培训: 对用户进行培训,让他们了解 MFA 的重要性以及如何正确使用 MFA 设备。 🧑‍🏫

使用 AWS CLI 配置 MFA

您还可以使用 AWS 命令行界面(CLI)配置 MFA。以下是一些常用的 AWS CLI 命令:

  • aws iam create-virtual-mfa-device: 创建一个虚拟 MFA 设备。
  • aws iam enable-mfa-device: 为 IAM 用户启用 MFA 设备。
  • aws iam resync-mfa-device: 重新同步 MFA 设备。
  • aws iam deactivate-mfa-device: 禁用 MFA 设备。
  • aws iam delete-virtual-mfa-device: 删除虚拟 MFA 设备。

请参阅 AWS 文档以获取有关使用 AWS CLI 配置 MFA 的更多信息。 📚

总结

配置 AWS IAM MFA 是保护您的 AWS 账户安全的重要步骤。通过要求用户提供来自另一个身份验证设备的验证码,MFA 可以大大降低未经授权访问您的 AWS 资源的风险。请务必为您的所有 IAM 用户(尤其是根用户)启用 MFA,并定期审查您的 MFA 配置。 👍

希望本指南对您有所帮助! 😊

鲨鱼云自助平台

鲨鱼云自助平台是一站式国际云服务解决方案平台,支持阿里云国际、腾讯云国际、亚马逊AWS、谷歌云GCP等主流云厂商账号的开通、充值与管理。

热门文章
更多>